提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》
免费试用
400-811-3777

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创
    申请试用
      热门阅读
      1

      浙江省委宣传部副部长、省委网信办主任赵磊:守正创新 辩证施策 全力推动网络生态治理工作迈上新台阶

      2026-02-10

       2

      美创产品全面入围中直机关2025年网络设备框架协议采购项目

      2026-02-04

       3

      连续5年!美创再获中国网络安全产业联盟“先进会员单位”表彰

      2026-01-21

       4

      每周安全速递³⁷¹ | 勒索软件攻击导致心理健康机构超11万人数据泄露

      2026-01-06

       5

      四年同行,韧性共铸:西南某商行携手美创科技再度通过年度容灾大考

      2025-12-26
      相关文章

      每周安全速递³⁷⁴ | Osiris勒索软件利用BYOVD技术禁用安全工具

      2026-02-02

      每周安全速递³⁷² | DeadLock勒索软件团伙利用Polygon智能合约存储代理服务器地址

      2026-01-19

      每周安全速递³⁷¹ | 勒索软件攻击导致心理健康机构超11万人数据泄露

      2026-01-06

      Strix自动渗透测试平台搭建与使用

      2025-12-22

      每周安全速递³⁷⁰ | 勒索软件攻击导致心理健康机构超11万人数据泄露

      2025-12-19
      老柳谈安全 | 零信任架构2.0的进化:以加密重构新边界(3A加密)
      发布时间:2020-12-09 阅读次数: 344 次

      零信任架构是美创数据安全实践的核心遵循思想。美创从数据不应该自动信任任何人的基本观点开始,从2010年开始实践,在2015年左右正式形成了零信任架构1.0版本,并在美创科技的每个数据安全产品中无缝落地。美创科技根据市场需求的变化不断地发展着零信任架构,在经过5年的成熟实践之后,近期美创科技零信任架构1.0即将升级为2.0版本,以更好的满足数据安全和网络安全的诉求。




      零信任架构2.0是在零信任架构1.0的四大基本原则和六大实践原则基础上的进化版本,能够更适应“云大物移”等这些不断开放的网络环境。相较于零信任架构1.0版,零信任架构2.0版的变革和创新之处主要体现在以下三点:


      "1、在不可靠网络中寻求可靠支撑点的决心更加坚决,在承认无边界访问的事实之上重新定义安全边界,并以人、边界、资产构成非安全网络的三个基本支撑点。

      2、采用智能化识别模式来判断每一个行为的上下文变化和匹配情况,并在过程中不断评估信任和风险,可以真正实现基于上下文风险的动态访问。

      3、充分认知到数据流动已经成为主要的安全场景之一,因此,能够让零信任架构真正覆盖到数据流动场景之中。"


      本篇主要讲述零信任架构2.0中基本支撑点之一:以加密重构新边界(3A加密)。

      在数字化转型的世界里,每时每刻都在不断宣示数据的绝对重要性,零信任网路架构则在不断宣示网络的不可信。绝对重要的数据从本质上不应该在不可信的网络中存储、计算和流动。但是我们别无选择,我们必须把绝对重要的数据在不可信网络中存储,计算和流动,这是一个无比巨大的挑战。加密几乎是唯一的解决方案,任何数据在任何时候,任何地点存储、计算和流动的时候都需要进行加密,美创表述为3A加密:anydata,anywhen,anywhere。加密的一个巨大作用在于把无限开放的供给面或者边界最大程度的缩小,缩小为一个点,从根本上降低安全防御的难度。


      任何数据(anydata)加密或者加密任何数据,是非公开数据存储在不安全网络中的基本实践指南。特别是当你把你的数据存储在公有云、行业云,托管云以及各种私有云环境中,就如同把巨额财富秘密交付给一个陌生的人管理一样,你没有任何手段保证数据的安全存储。这个时候你必须加密你的数据,把加密好的数据交给公有云、行业云、托管云以及其他各种私有云去管理。有效的手段往往做起来并不容易,加密就是如此。

      当加密任何数据的时候,加密面临着以下主要挑战:

      ❖ 从几十到几百甚至几千TB的数据如何进行加密?


      ❖ 加密如何实现业务透明?特别针对数据库的情况,加密如何实现索引透明?


      ❖ 加密的性能损伤几何?任何一个问题无法解决,加密任何数据这个美好愿望就会落空。

      任何地方(anywhere)加密表示数据在任何地方落地都需要进行加密,无论是在存储中、在内存中、在网络中、在数据中心、在pc终端或者其他终端。目前在内存中加密计算依然处于不可商用阶段。事实上从商业角度出发考虑,在没有很好解决存储加密和传输加密的前提下,谈内存计算加密没有任何意义。当前美创讲的anywhere加密不包括在内存计算加密,主要指存储加密和网络加密。

      任何时候(anywhen)加密表示数据始终处于加密状态(当前在内存计算阶段除外),无论什么时候访问数据,数据都处于加密状态。任何时候加密数据意味着任何应用程序处理数据IO加密:接收输入的加密数据,释放输出的加密的数据。

      任何加密技术都有一个共同的难点,密钥管理。加密的本质在于把数据原来无限开放的边界和攻击面缩小到密钥这个点。加密的问题不能靠加密解决,密钥的管理则需要依赖访问控制机制来完成,加密之于安全的本质是一种访问控制实现手段。3A加密可以最大程度的简化绝对重要的数据在不安全的网络环境中存储、计算和流动的管理难度。或者我们可以说,加密重新定义了新边界,从无限大的边界缩小为可以握在掌心的边界。

      上一条:安全实验室 | 内网渗透—SPN与Kerberoast攻击
      下一条:每周安全速递¹³⁸|美国大型连锁生育诊所遭受勒索软件攻击
      返回
      关注或联系美创
      官方订阅号 官方订阅号
      官方服务号 官方服务号
      第59号 第59号
      服务热线:400-811-3777
      商务合作:marketing@mchz.com.cn
      友情链接 中央网信办 公安部 工信部 CNCERT 中国信通院 中国软件测评中心 国家工业信息安全发展研究中心 赛迪研究院
      Copyright © 2024 杭州美创科技股份有限公司 All rights reserved.
      浙公网安备 33010502006954号 浙ICP备12021012号-1 网站地图 网站声明及隐私保护政策
      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部